一 引言
信息安全的范圍很大。大到國家軍事政治等機密安全,小到防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等;SOA的商業系統的信息安全技術是保證其信息安全的關鍵,包括各種安全協議、安全機制(數字簽名、信息認證、數據加密等),其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論,以及基于新一代信息網絡體系結構的網絡安全服務體系結構。
信息是社會發展的重要戰略資源。國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,信息安傘成為維護國家安全和社會穩定的一個焦點,各國都對信息安全給以極大的關注和投入。信息安全已成為亟待解決、影響國家大局和長遠利益的重大關鍵問題,它不但是發揮信息革命帶來的高效率、高效益的有力保證,而且是抵御信息侵略的重要屏障,信息安全保障能力是2l世紀綜合國力、經濟競爭實力和生存能力的重要組成部分,是世紀之交世界各國都在奮力攀登的至高點。我國的政治、軍事、經濟、文化、社會生活的各個方面受到信息安全問題的影響,如果解決不好將使國家處于信息戰和高度經濟金融風險的威脅之中。在網絡信息技術高速發展的今天,信息安全已變得至關重要,信息安全已成為信息科學的熱點課題。
二 SOA架構是商業系統的趨勢
2.1 SOA的概念
SOA即Service-Oriented Architecture的縮寫,也就是面向服務的架構,它是一個組件模型,是一種流行的軟件設計架構,它將應用程序的不同單元通過這些它們之間定義良好的接口和契約聯系起來,這些單元稱為服務。服務之間通過簡單并且精確定義的接口來進行通信。SOA體系架構中包含服務提供者、服務注冊中心和服務使用者以及三種關于服務的動作:發布、查找和綁定。其中,服務提供者進行發布和響應服務,服務注冊中心注冊、分類和搜索服務提供者,服務使用者查找和使用服務提供者提供的服務。
2.2 商業系統采用SOA架構的必然性
商業系統的各個子模塊也可以作為一種服務來看待,它可以為用戶提供各種商業系統的各種服務功能,因此,商業系統與SOA架構結合是非常可行的。在基于SOA的某某商業系統的體系結構中,對商業系統服務構件,進行詳細設計和開發,可以重復使用和共享已經實現的商業系統服務構件,這為其他具有類似功能模塊的煙草商業系統的構建提供了便利條件,能夠節省大量的時間,提高系統開發效率,為眾多復雜的煙草商業系統的構建提供了可行的解決方案。因此,采用SOA架構是商業系統的必然趨勢。
2.3 SOA對信息安全技術的要求
面向服務的體系結構(SOA)跨越了計算機系統和企業邊界,一個應用軟件的組件可以非常容易地跟屬于不同域的其他組件進行通信。但是,SOA尚未能達到事務的不可否認性、事務撤回機制等最高可靠性,所以保證相互連接的系統之間的安全性是比較復雜的。
SOA作為一個具有發展前景的應用系統架構,仍然正在不斷地發展,其安全性問題至關重要,對信息安全技術的研究也提出了新的要求。與傳統系統相比,在基于SOA的商業系統中,提出請求的主體和提供服務資源的客體都具有較高的動態特性。由于主體操作方式的多樣性和用戶的計算環境的異構性造成了主體動態特性。服務本身的動態性主要表現在以下兩個方面:可能擴充或修改服務提供的功能,服務的組成也具有動態的變動性。這就要求信息安全技術應該能夠對這種變化動態地適應,能夠根據安全相關地環境采取合適的信息安全技術。
三 基于SOA的商業系統的信息安全技術
3.1 訪問控制
在基于SOA的商業系統的信息安全技術中,訪問控制技術是最重要的安全技術之一,也是可信計算機系統評估標準中的評價系統安全的主要指標之一。訪問控制就是主體依據某些控制策略或權限,進行客體本身或是其資源的不同的授權訪問。訪問控制主要由以下三個要素組成:主體、客體和訪問控制策略。
(1)主體:是提出請求或要求的實體,是動作的發起者,但是它不一定是動作的執行者。主體可以是用戶或者進程、作業和程序等任何代理用戶行為的實體。實體可以是一個物理設備、數據文件、內存或進程等計算機資源或者是一個合法用戶。
(2)客體:是接受其他實體訪問的被動實體。客體可以是能夠被操作的信息、資源、對象。在信息社會中,信息、文件、記錄等的集合體,網路上的硬件設施,無線通信中的終端,都可以看作是客體,甚至客體之間可以互相包含。
(3)訪問控制策略:是主體對客體的操作行為集和約束條件集,也就是主體對客體的訪問規則集。在這個規則集中,對主體的作用行為和客體對主體的條件約束進行了直接的定義。訪問控制策略體現了不超越規則集的客體對主體的權限允許這樣一種授權行為。
由于基于SOA的商業系統的訪問用戶往往種類繁多、數量巨大、并且動態變化,增大了授權管理的負擔。為了防止直接將訪問權限授予主體,從而方便管理,系統采用了基于角色的訪問控制模型RBAC。
基于角色的訪問控制模型RBAC如圖I所示。
3.2 數字簽名
在基于SOA的某商業系統中,使用了數字簽名技術。數字簽名是實現認證和非否認的一種方法。認證允許一個人進行數據和身份的確認,而非否認防止—個人對其行為進行否認。
數字簽名技術是不對稱加密算法的典型應用。數字簽名的應用過程是,數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變量進行加密處理,完成對數據的合法“簽名”,數據接收方則利用對方的公鑰來解讀收到的“數字簽名”,并將解讀結果用于對數據完整性的檢驗。從而對簽名的合法性進行確認。在網絡系統虛擬環境中,數字簽名技術是進行身份確認的一種重要技術,可以將現實過程中的“親筆簽字”完全代替,在技術和法律上有保證。在數字簽名應用中,可以很方便地得到發送者的公鑰,但是需要嚴格保密發送者的私鑰。
3.3 身份認證
身份認證是計算機及網絡系統這樣一個虛擬的數字世界確認操作者身份的過程。由于在計算機及網絡系統中,是用一組特定的數據來表示包括用戶的身份信息在內的一切信息的,因此,計算機只能識別用戶的數字身份,也是針對用戶數字身份的授權進行所有對用戶的身份認證,F實世界中,每個人都擁有獨一無二的物理身份。如何保證操作者的物理身份與數字身份相對應,是一個非常重要的問題。身份認證技術解決了這個問題。主要包括以下幾種常用的用戶身份認證技術:傳統的基于口令的身份認證、基于隨機口令的雙因素認證技術、基于PKI體制的數字證書認證技術等。
基于口令的身份認證技術是指當被認證對象要求訪問認證方的服務時,提供服務的認證方要求被認證對象提交口令,認證方將收到的口令與系統中存儲的口令進行比較,從而對于被認證對象是否為合法訪問者進行確認。具有構建方便、使用靈活、投入小的優點,適合一些封閉的小型系統和安全性要求不是很高的系統。
PKI是利用公鑰理論和技術建立的提供安全服務的基礎設施,是信息安全技術的核心。對于信息系統中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,PKI能夠有效地解決;赑KI體制的數字證書認證技術適合大型系統和安全性要求很高的系統。
結合基于SOA的商業系統的實際需要,本系統采用了基于PKI體制的數字證書技術。
3.4 分布式入侵檢測
在分布式入侵檢測技術方面,基于SOA的商業系統使用了基于規則分析的策略;谝巹t分析的策略的入侵檢測的決策依據,是一些預先定義好的規則,通常情況下,由管理員進行輸入或者是系統自動創建這些規則;谝巹t分析的入侵檢測系統在實現中最常見的兩種形式分別是專家系統和神經網絡。在異常入侵檢測中,已經應用了SOM神經網絡。研究表明,由于神經網絡具有高效、并行、有學習能力等多種優勢,非常適用于建立復雜多變的基于SOA的商業系統。
四 結語
隨著SOA的發展,傳統的信息安全技術很難滿足應用系統的動態性和開發性的要求。采用面向服務的架構進行應用系統的開發,已經成為一種必然的趨勢。但是,安全性和管理的復雜性已經成為阻礙其發展的重要原因。在基于SOA的商業系統中,提出請求的主體和提供服務資源的客體都具有較高的動態特性,要求信息安全技術應該能夠動態地適應這種動態特性,信息安全技術面臨著嚴峻的挑戰。隨著面向服務的架構技術的成熟,SOA的體系架構將被更廣泛地應用,對于信息安全技術的要求會越來越高。安全性問題是基于SOA的系統的一個永恒話題,信息安全技術的研究和發展應該受到重視。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:基于SOA的商業系統的信息安全技術探討
本文網址:http://www.guhuozai8.cn/html/consultation/1083954513.html